… exatamente: não estamos falando do samba, um gênero musical brasileiro que se originou entre as comunidades afro-brasileiras urbanas aqui, do Rio de Janeiro (lá no início do século passado). Mas sim, estamos falando do protocolo SMB (Server Message Protocolo) e sua implementação batizada de SAMBA, designada para rodar em sistemas Unix em geral. Graças a ele, os sistemas GNU/Linux e Windows poderão compartilhar recursos em redes como compartilhamento de arquivos e impressoras, além de prover suporte para o controle de domínios (DC)…
“A severe vulnerability in Samba’s WINS server implementation for Active Directory domain controllers has been disclosed, enabling unauthenticated attackers to execute arbitrary code on vulnerable systems. Tracked as CVE-2025-10230, the flaw carries a CVSS 3.1 score of 10.0, underscoring its extreme risk and ease of exploitation. All Samba versions since 4.0 with WINS support enabled and the wins hook parameter set are affected, potentially exposing countless enterprise directory services to compromise.”
— by Cyber Press.
Mas infelizmente, esta boa relação está “ameaçada”: uma vulnerabilidade crítica foi descoberta na implementação do servidor WINS do SAMBA para controladores de domínio do Active Directory, permitindo que invasores não autenticados executem código arbitrário. A falha, identificada como CVE-2025-10230, possui uma pontuação CVSS 3.1 de 10.0, indicando seu risco severo e facilidade de exploração. Essa vulnerabilidade afeta todas as versões do SAMBA desde a 4.0 que possuem suporte a WINS habilitado junto com o parâmetro “wins hook”, deixando muitos serviços de diretório corporativos suscetíveis a comprometimento.
A vulnerabilidade decorre da maneira como o servidor WINS do SAMBA lida com as solicitações de alteração de nome NetBIOS. Quando um “wins hook”, um executável ou script, é configurado para ser executado nessas alterações, o SAMBA incorpora diretamente os nomes NetBIOS fornecidos pelo cliente em comandos do shell sem a devida sanitização. Isso permite que um invasor crie um nome NetBIOS malicioso com metacaracteres de shell incorporados. Quando o servidor vulnerável processa a alteração do nome, ele executa todo o comando malicioso, dando ao invasor controle total sobre o sistema com privilégios de nível de sistema.
Para resolver esse problema crítico, os mantenedores do SAMBA lançaram atualizações de segurança nas versões 4.23.2, 4.22.5 e 4.21.9. Os administradores são instruídos a atualizar para uma dessas versões corrigidas ou aplicar o patch portado imediatamente. Como medida temporária, é recomendável desabilitar o parâmetro “wins hook” no arquivo smb.conf ou desativar completamente o suporte a WINS para controladores de domínio. Este incidente destaca os riscos de segurança associados a serviços de rede legados e a necessidade crucial de validação completa da entrada.
Aproveitem o SAMBA! Tanto a implementação quanto o gênero musical… &;-D